Auditingfunktionen in Autonomous Database

Oracle Autonomous Database bietet robuste Auditingfunktionen, mit denen Sie verfolgen können, wer welche Vorgänge im Service und in bestimmten Datenbanken ausgeführt hat. Mit umfassenden Logdaten können Sie Aktionen an Ihren Ressourcen auditieren und überwachen. So können Sie Ihre Auditanforderungen erfüllen und gleichzeitig das Sicherheits- und Betriebsrisiko reduzieren.

Aktivitäten auf Serviceebene auditieren

Alle Aktionen, die Oracle Cloud-Benutzer mit den Ressourcen ausführen, die Bestandteil Ihres Deployments von Oracle Autonomous Database in einer dedizierten Infrastruktur sind, werden vom Audit-Service protokolliert, unabhängig von der verwendeten Schnittstelle: Oracle Cloud Infrastructure-Konsole, REST-API, Befehlszeilenschnittstelle (CLI), Software Development Kits (SDK) usw.

Mit dem Audit-Service können Sie eine Diagnose durchführen, die Ressourcennutzung verfolgen, die Compliance überwachen und sicherheitsbezogene Ereignisse erfassen. Weitere Informationen zum Audit-Service finden Sie unter Überblick über Audit in der Oracle Cloud Infrastructure-Dokumentation.

Darüber hinaus sendet Oracle Autonomous Database Vorgänge an Ressourcen an den Events-Service. Mit dem Events-Service können Sie Regeln erstellen, um diese Ereignisse zu erfassen und Aktionen wie das Senden von E-Mails mit dem Notifications-Service auszuführen.

Weitere Informationen zur Funktionsweise des Events-Service und zur Einrichtung der von diesem Service verwendeten Regeln und Aktionen finden Sie unter Überblick über Events. Eine Liste der Autonomous Database-Vorgänge, die Ereignisse generieren, finden Sie unter Ereignisse für Autonomous Database on Dedicated Exadata Infrastructure.

Tipp:

Um die Erstellung von Benachrichtigungen mit dem Events- und dem Notifications-Service auszuprobieren, können Sie Lab11: OCI Notification Service in Oracle Autonomous Database Dedicated for Fleet Administrators ausführen.

Datenbankaktivitäten auditieren

Oracle Autonomous Database konfiguriert die von Ihnen erstellten autonomen Datenbanken für die Verwendung des einheitlichen Auditingfeatures von Oracle Database.

Dieses Feature erfasst Auditdatensätze aus den folgenden Quellen und stellt sie in einem einheitlichen Format in einem einzelnen Audittrail zusammen:

  • Auditdatensätze (einschließlich SYS-Auditdatensätze) aus einheitlichen Audit-Policys und AUDIT-Einstellungen
  • Detaillierte Auditdatensätze aus dem PL/SQL-Package DBMS_FGA
  • Oracle Database Real Application Security-Auditdatensätze
  • Oracle Recovery Manager-Auditdatensätze
  • Oracle Database Vault-Auditdatensätze
  • Oracle Label Security-Auditdatensätze
  • Oracle Data Mining-Datensätze
  • Oracle Data Pump
  • Oracle SQL*Loader-Direktladevorgänge

Aus diesem Grund können Sie mit dem einheitlichen Audittrail eine Vielzahl von Diagnose- und Sicherheitsanalyseaktivitäten für Ihre Datenbank ausführen.

Um zu verhindern, dass der einheitliche Audittrail zu groß wird, enthalten von Ihnen erstellte autonome Datenbanken einen Oracle Scheduler-Job namens MAINTAIN_UNIAUD_TRAIL, der täglich ausgeführt wird und einheitliche Auditdatensätze entfernt, die älter als 90 Tage sind. Als ADMIN-Datenbankbenutzer können Sie die Eigenschaften dieses Jobs ändern.

Als Benutzer mit der Rolle AUDIT_ADMIN können Sie die Audit-Policys erstellen oder ändern. Als Benutzer mit der Rolle AUDIT_VIEWER können Sie die einheitlichen Auditdaten anzeigen, indem Sie die folgenden Ansichten abfragen:
  • AUDIT_UNIFIED_CONTEXTS
  • AUDIT_UNIFIED_ENABLED_POLICIES
  • AUDIT_UNIFIED_POLICIES
  • AUDIT_UNIFIED_POLICY_COMMENTS

Nur ein ADMIN-Benutzer kann einem anderen Benutzer die Rollen AUDIT_VIEWER oder AUDIT_ADMIN erteilen. Wenn Sie die Rolle PDB_DBA haben, können Sie anderen Benutzern nicht AUDIT_VIEWER oder AUDIT_ADMIN erteilen.

Weitere Informationen zur Funktionsweise des einheitlichen Audits finden Sie unter Was ist einheitliches Auditing? im Oracle Database 19c Security Guide oder im Oracle Database 23ai Security Guide.

Wenn Sie Ihre autonome Datenbank bei Oracle Data Safe registrieren, können Sie außerdem die umfangreichen Aktivitätsauditing- und aktivitätsbasierten Alertfeatures nutzen.

Informationen zu diesen Data Safe-Features finden Sie unter Aktivitätsauditing in Oracle Data Safe verwenden. Informationen zum Registrieren der Datenbank bei Data Safe finden Sie unter Dedizierte Datenbanken bei Data Safe registrieren oder ihre Registrierung aufheben.

Auditing autonomer VM-Aktivitäten

Erfassungs-Agents, die auf den Control-Plane-Servern von Autonomous Database ausgeführt werden, erfassen und senden BS-Auditlogs für alle virtuellen Maschinen und Hypervisoren, die auf dem physischen Host ausgeführt werden, zusätzlich zu Logs für Antiviren- und Host-Intrusion-Erkennungssoftware. Diese Logs werden an einen zentralen System Information and Event Management-(SIEM-)Service in OCI gesendet. Hunderte von Warnregeln für den SIEM-Scan auf Konfigurationsänderungen, potenzielle Einbrüche und nicht autorisierte Zugriffsversuche, unter anderem.

Ein dediziertes Team von Sicherheitsanalysten aus dem Detection and Response Team (DART) für Sicherheitsvorfälle ist für die Verwaltung der Sicherheitsereignis-Dashboards 24/7 und die Verarbeitung von Alerts verantwortlich, um echte positive Ergebnisse zu filtern. Wenn ein wahres Positiv erkannt wird, wird eine geeignete Antwort basierend auf dem Schweregrad und der Auswirkung des Ereignisses initiiert. Dies kann eine weitere Analyse, eine Ursachenbewertung und eine Behebung mit den Serviceteams und der Kundenkommunikation umfassen.

Darüber hinaus sendet die Software zum Scannen von Sicherheitslücken seine Ergebnisse an OCI Security Central, die automatisch Tickets für Serviceteams generiert, um Ergebnisse innerhalb eines Zeitraums basierend auf dem CVSS-Score zu beheben. Darüber hinaus werden Auditereignisse für Vorgangsaktionen an den Logging-Service und ein vom Kunden bereitgestelltes Syslog für Systeme gesendet, die beim Operator Access Control-Service registriert sind.

Oracle speichert die folgenden Logs für autonome VMs auf Exadata Cloud@Customer X8M-Hardware und höher:

  • /var/log/messages
  • /var/log/secure
  • /var/log/audit/audit.log
  • /var/log/clamav/clamav.log
  • /var/log/aide/aide.log

Oracle bewahrt die folgenden Infrastrukturauditlogs für Exadata Cloud@Customer X8M und höher auf:

  • Integrated Lights-Out Management (ILOM)
    • ILOM-Syslog, das zum Syslog der physischen Infrastrukturkomponente umgeleitet wird
    • syslog
  • Physischer Exadata-Datenbankserver
    • /var/log/messages
    • /var/log/secure
    • /var/log/audit/audit.log
    • /var/log/clamav/clamav.log
    • /var/log/aide/aide.log
  • Exadata Storage Server
    • /var/log/messages
    • /var/log/secure
    • /var/log/audit/audit.log

Oracle-Operatoraktivitäten auditieren

Oracle Autonomous Database bietet robuste Auditingfunktionen, mit denen die vorhandenen Auditingfunktionen um die von Oracle-Operatoren ausgeführten Aktivitäten erweitert werden, wobei der Schwerpunkt auf der Erfüllung gesetzlicher Anforderungen an die Kontrolle und das Audit aller Aspekte des Systemmanagements liegt.

Tipp:

Eine schrittweise Anleitung zum Erstellen und Verwalten des Operatorkontrollzugriffs auf Exadata-Infrastruktur- und autonome Exadata-VM-Clusterressourcen finden Sie unter Übung 15: Operator Access Control in Oracle Autonomous Database Dedicated for Fleet Administrators Workshop.

Autonomous Database on Dedicated Exadata Infrastructure basiert auf einem Modell der geteilten Verantwortung. Dabei gilt:
  • Sie als Kunde sind für die Daten und die Datenbankanwendung verantwortlich.
  • Oracle ist für die Infrastrukturkomponenten verantwortlich: Stromversorgung, Bare-Metal-Betriebssystem, Hypervisor, Exadata-Speicherserver und andere Aspekte der Infrastrukturumgebung.
  • Oracle ist für die DBMS-Software und den Gesamtzustand der Datenbank verantwortlich.

In diesem Modell hat Oracle uneingeschränkten Zugriff auf die Komponenten in seinem Verantwortungsbereich. Dies kann ein Problem darstellen, wenn Sie gesetzliche Vorschriften für Audit und Kontrolle aller Aspekte Ihres Systemmanagements erfüllen müssen.

Oracle Operator Access Control ist ein Complianceauditsystem, mit dem Sie eine enge Verwaltung und Audittrails aller Aktionen verwalten können, die ein Oracle-Operator auf der Exadata-Infrastruktur, der Exadata-Infrastruktur, die ein Autonomous Database hostet, und dem autonomen Exadata-VM-Cluster (virtuelle Clientmaschinen, die in Oracle Autonomous Database bereitgestellt sind), durch Oracle verwaltet. Darüber hinaus können Kunden den Zugriff des Operators auf eine bestimmte vom Kunden genehmigte autonome Containerdatenbank (ACD) kontrollieren und einschränken.

Oracle Operator Access Control bietet Ihnen folgende Möglichkeiten:
  • Kontrollieren Sie, wer auf das System zugreifen kann, wann auf das System zugegriffen werden kann und wie lange Oracle-Mitarbeiter auf das System zugreifen können.
  • Schränken Sie den Zugriff und die Aktionen ein, die Oracle-Operatoren auf Ihrem System ausführen können.
  • Zugriff widerrufen, einschließlich zuvor erteilter geplanter Zugriffe.
  • Zeigen Sie einen Bericht mit Daten nahezu in Echtzeit über alle Aktionen an, die Oracle-Operatoren auf Ihrem System ausführen, und speichern Sie den Bericht.
Mit Oracle Operator Access Control können Sie:
  • Kontrollieren und auditieren Sie alle Aktionen, die von einem Operator oder einer Systemsoftware in den folgenden Autonomous Database-Ressourcen ausgeführt werden:
    • Exadata Infrastructure
    • Autonomes Exadata-VM-Cluster (AVMC)
    • Autonome Containerdatenbank (ACD)
    Weitere Informationen zum Erzwingen von Kontrollen für die Vorgänge, die ein Oracle-Operator in Ihrer Umgebung ausführen kann, finden Sie unter Aktionen in Operator Access Control durchsetzen.
  • Stellen Sie Kontrollen für virtuelle Clientmaschinen bereit, die auf Oracle Autonomous Database bereitgestellt werden. Wie Operator Access Control für die Cloud@Customer-Infrastruktur können Kunden Zugriffskontrollen für Oracle-Operatoren für ihre autonomen VM-Cluster einrichten, die auf Exadata Cloud@Customer oder Oracle Public Cloud bereitgestellt sind. Weitere Informationen finden Sie unter Operator Access Control-Aktionen: Autonomes VM-Cluster.
  • dieselben Audits und Zugriffskontrollen in Ihren Systemen verwalten Weitere Informationen finden Sie unter How Operator Access is Audited.
  • die für interne oder externe Audits in Ihren Systemen erforderlichen Auditdatensätze bereitstellen. Weitere Informationen finden Sie unter Logs mit Operator Access Control verwalten und suchen.

Beim Erstellen einer Operator Control können Sie entweder Exadata-Infrastruktur oder Autonomes Exadata-VM-Cluster auswählen, je nachdem, welche Ressource Sie für den Operatorzugriff auditieren möchten. Weitere Einzelheiten finden Sie unter Operatorkontrolle erstellen.